［王帥 金華敏 鄧曉東 張昊迪］

1 引言

隨著國家網(wǎng)絡空間戰(zhàn)愈演愈烈，網(wǎng)絡空間安全重要性日益突出，網(wǎng)絡安全靶場已成為網(wǎng)絡空間安全體系中重要基礎設施之一。全球多國已建設國家級網(wǎng)絡靶場，作為網(wǎng)絡空間戰(zhàn)訓練和新技術驗證核心基礎設施；我國近幾年也大力推進網(wǎng)絡安全靶場的建設，從產(chǎn)業(yè)鏈建設、標準制定、政策發(fā)規(guī)等方面采取了一系列的舉措。2020 年工信部發(fā)布的《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見（征求意見稿）》中明確提出“建設網(wǎng)絡安全測試驗證、培訓演練、設備安全檢測等共性基礎平臺；鼓勵舉辦高水平網(wǎng)絡安全技能競賽，健全人才發(fā)現(xiàn)選拔機制”。目前業(yè)內頭部安全廠商、組織及高校已推出了網(wǎng)絡靶場等產(chǎn)品和實驗室，通信行業(yè)標準組織CCSA 已成立了專門的靶場標準研究組，網(wǎng)絡安全靶場正成為信息化體系的標準配置。

網(wǎng)絡安全靶場概念來自于軍民融合項目，其中的“靶”就是攻擊目標模擬，安全靶場衍生出的含義就是為網(wǎng)絡安全實際攻防操作、實驗和測試提供仿真和模擬環(huán)境，3 個核心業(yè)務場景為：安全培訓、演練、競賽；安全問題的復現(xiàn)，特別是特定靶標系統(tǒng)的安全漏洞復現(xiàn)和相應攻擊方法模擬實現(xiàn)和對抗；安全技術和方案、網(wǎng)絡安全攻防工具、網(wǎng)絡安全技術體系的驗證和測試和研究提升。目前市面上主流的安全靶場產(chǎn)品主要以第一個場景為主，通過虛機或者容器的方式構建培訓/演練/競賽中攻防場景，并實現(xiàn)業(yè)務管理和展現(xiàn)等功能。對電信運營商來說，建設網(wǎng)絡安全靶場除了通過第一個業(yè)務場景提升安全人員實戰(zhàn)技能之外，更為重要的是通過構建模擬現(xiàn)網(wǎng)的平行網(wǎng)絡靶場，開展實際的網(wǎng)絡、系統(tǒng)、業(yè)務安全漏洞挖掘和眾測，并對安全技術與防御能力進行測試驗證，實現(xiàn)第二、第三個業(yè)務場景，及時發(fā)現(xiàn)問題解決問題，從而推動現(xiàn)網(wǎng)網(wǎng)絡與業(yè)務系統(tǒng)的安全水平。在這3 個業(yè)務場景中，均會產(chǎn)生大量的攻防數(shù)據(jù)和信息，對這些數(shù)據(jù)的監(jiān)控分析是實現(xiàn)這3 個業(yè)務場景的關鍵一環(huán)，能夠極大提升靶場的公平性、有效性和效率，是網(wǎng)絡安全靶場建設重點之一。本文從這3 個場景出發(fā)分析了網(wǎng)絡安全靶場數(shù)據(jù)監(jiān)控的需求，探討了靶場數(shù)據(jù)監(jiān)控技術，提出了靶場數(shù)據(jù)監(jiān)控與攻防效能評估方案。

2 網(wǎng)絡安全靶場數(shù)據(jù)監(jiān)控需求

在安全靶場實訓、漏洞挖掘、科研驗證等3 個場景下，對于數(shù)據(jù)監(jiān)控的目的是不同的。實訓場景下通過對紅藍雙方的攻擊與防護行為進行監(jiān)控，達到攻防行為的復盤與防作弊等目的，保證安全培訓與競賽過程的公平公正性；同時對培訓學員和參賽者的技能進行分析，實現(xiàn)用戶畫像。漏洞挖掘場景下由于其開放性，可通過各類攻擊數(shù)據(jù)的收集，達到攻擊特征提取的目的，提升現(xiàn)網(wǎng)相關產(chǎn)品的能力。科研驗證場景下，由于攻擊行為是已知的，可以對防護效能進行分析，掌握攻擊與防御能力的有效性，從而更有針對性的進行提升。

在安全靶場中由于是在可控環(huán)境下進行數(shù)據(jù)收集與分析，其數(shù)據(jù)監(jiān)控與在實際環(huán)境中進行數(shù)據(jù)監(jiān)控存在一定的差異性。首先是靶場中的脆弱點在大多數(shù)情況下是可知的，數(shù)據(jù)監(jiān)控的范圍可控；其次靶場中攻擊行為可知，由于靶場通常會給攻擊者分配跳板機進行內部競賽或演練環(huán)境的滲透，跳板機處于靶場內部，其上的系統(tǒng)和用戶行為數(shù)據(jù)是可被收集的；第三，靶場中背景流量可知，靶場環(huán)境中背景流量往往采用流量回放或發(fā)包的方式進行模擬，流量的類型、大小、源目地址基本是已知的。正是這些差異性使得靶場中的數(shù)據(jù)監(jiān)控更能關注關鍵信息，進行更全面的分析和評估。

在這種可控的環(huán)境下，為了達到上述3 個方面的目的，安全靶場的數(shù)據(jù)監(jiān)控需要進行全面的考慮，覆蓋時間、空間、事件、管理和場景等維度，針對流量、日志等實時與非實時的數(shù)據(jù)進行采集。在時間維度上對靶場在運行過程中每一時刻的數(shù)據(jù)進行監(jiān)控，并滿足實時和非實時數(shù)據(jù)分析場景需求。在空間維度上對靶場中關鍵網(wǎng)絡節(jié)點、靶機和攻擊機、關鍵網(wǎng)絡設施、關鍵應用和服務等產(chǎn)生的數(shù)據(jù)進行監(jiān)控。在事件維度上將各種攻擊流量、脆弱性信息、主機與應用日志、用戶行為信息等數(shù)據(jù)納入監(jiān)控，滿足安全事件分析需求。在管理維度對靶場虛實環(huán)境下各種運行數(shù)據(jù)、性能數(shù)據(jù)，以及培訓學員與參賽隊員/隊伍的答題、學習等數(shù)據(jù)等進行采集分析，滿足靶場運維和管理需求。在場景維度上，除了能支持傳統(tǒng)IT 系統(tǒng)、IP 網(wǎng)的數(shù)據(jù)采集外，還需要針對特定場景的數(shù)據(jù)進行采集，比如電信運營商搭建的4G、5G 等場景，需要對信令數(shù)據(jù)進行采集；電力等行業(yè)搭建的工業(yè)互聯(lián)網(wǎng)場景，需要支持對特定工控協(xié)議數(shù)據(jù)的采集。

3 網(wǎng)絡安全靶場數(shù)據(jù)監(jiān)控技術與方案

3.1 網(wǎng)絡安全靶場數(shù)據(jù)監(jiān)控技術

網(wǎng)絡安全靶場數(shù)據(jù)監(jiān)控技術主要包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)分析等技術。對于流量數(shù)據(jù)采集可以采用流量分光、流量鏡像等技術；對于非流量數(shù)據(jù)可以采用syslog、snmp、FTP 等協(xié)議方式進行采集，也可以基于客戶端Agent 進行主機數(shù)據(jù)深度采集。數(shù)據(jù)處理主要是對數(shù)據(jù)進行清洗、過濾與標準化建模，目前主要是基于數(shù)據(jù)匯聚融合理念進行數(shù)據(jù)建模，通過不同時刻產(chǎn)生的數(shù)據(jù)進行融合后進一步進行集中式處理，對多元異構數(shù)據(jù)進行清洗、歸一化，采用統(tǒng)一的格式進行存儲和管理，通過屬性融合、關系拓展、群體聚類等方式挖掘數(shù)據(jù)之間的直接或潛在的相關性，為后續(xù)數(shù)據(jù)分析與決策提供高效、穩(wěn)定、靈活、全面的數(shù)據(jù)支撐，當然數(shù)據(jù)建模對應用有較強的依存性，不存在普適的通用數(shù)據(jù)模型。數(shù)據(jù)分析技術主要在于對流量的檢測分析技術，包括協(xié)議還原與載荷提取、深度流檢測、深度包檢測，以及基于人工智能的檢測技術。

協(xié)議還原與載荷提取技術：對原始流量包進行協(xié)議解析，根據(jù)其協(xié)議類型將其還原為不同種類的應用訪問記錄，其中包含通過應用協(xié)議傳輸?shù)妮d荷內容。該技術相對成熟，主要的技術差距體現(xiàn)在對于各類應用協(xié)議的覆蓋能力以及協(xié)議還原的性能方面。

深度包檢測（DPI）技術：不提取應用載荷內容，只針對網(wǎng)絡流傳輸協(xié)議字段進行統(tǒng)計分析，包括IP 地址、端口、協(xié)議類型、標志位、時間戳、流長度、流持續(xù)時間等。該項技術僅能發(fā)現(xiàn)網(wǎng)絡流層面的異常和利用協(xié)議漏洞實施的攻擊行為，檢測能力較為局限。

深度流檢測（DFI）技術：提取網(wǎng)絡數(shù)據(jù)包的載荷內容，與預置的已知攻擊行為特征進行比對，一旦比對成功就發(fā)出安全告警。其檢測能力主要體現(xiàn)在預置行為特征庫的覆蓋度和準確度。

智能檢測技術：通過將攻擊檢測問題轉化為基于流量數(shù)據(jù)的行為推理問題，攻擊活動由于在本質上與正常網(wǎng)絡活動存在的顯著差異性，即便在具體行為方式上出現(xiàn)較大變化，仍然有可能利用神經(jīng)網(wǎng)絡的泛化學習能力，判斷出新型攻擊活動或病毒變種。

3.2 網(wǎng)絡安全靶場數(shù)據(jù)支撐方案

為了對網(wǎng)絡安全靶場所監(jiān)控的數(shù)據(jù)提供存儲、共享和分析能力，在網(wǎng)絡安全靶場中需要構建相應的數(shù)據(jù)支撐平臺，其技術框架如圖1 所示。

圖1 網(wǎng)絡安全靶場數(shù)據(jù)支撐平臺技術框架

圖1 中，網(wǎng)絡安全靶場的數(shù)據(jù)存儲與共享主要包括關系型數(shù)據(jù)存儲、分布式數(shù)據(jù)存儲、數(shù)據(jù)共享等功能，并具備數(shù)據(jù)共享規(guī)則庫。其中關系型數(shù)據(jù)存儲主要針對關系型數(shù)據(jù)，需要具備強一致性的多副本數(shù)據(jù)安全、分布式事務、遷移便捷、實時OLAP 等能力，并可對庫表結構、索引配置等存儲方案進行動態(tài)創(chuàng)建、修改和更新；分布式數(shù)據(jù)存儲主要針對文件、全文檢索等分布式數(shù)據(jù)，具備可擴展性、數(shù)據(jù)可用性、安全性，提供數(shù)據(jù)集群存儲、數(shù)據(jù)塊備份、快速回復等能力；數(shù)據(jù)共享主要提供基于數(shù)據(jù)網(wǎng)關API 調用的共享服務及對服務的認證、鑒權等管控能力；數(shù)據(jù)存儲規(guī)則庫主要依據(jù)數(shù)據(jù)加載類型判定數(shù)據(jù)采用的存儲類型，如試驗配置數(shù)據(jù)、試驗運行數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)和資源元數(shù)據(jù)等采用分布式關系型數(shù)據(jù)存儲，分布式探針采集的日志文件采用分布式全文檢索數(shù)據(jù)存儲，鏡像文件、模板文件、文檔文件和圖片文件等試驗資源數(shù)據(jù)以及試驗過程中錄屏視頻文件數(shù)據(jù)采用分布式文件數(shù)據(jù)存儲。

網(wǎng)絡安全靶場數(shù)據(jù)分析主要包括離線計算分析、實時計算分析等功能，并具備分析算法庫。其中離線計算分析主要對結構化和非結構化數(shù)據(jù)的調用分析，能夠以API 的方式開放離線數(shù)據(jù)處理能力，并提供對離線分析任務的配置、調度、認證授權、日志監(jiān)控等管理能力；實時計算分析主要針對流數(shù)據(jù)和實時獲取數(shù)據(jù)進行分析，支持多種分布式實時計算模型，具備告訴匹配計算和關聯(lián)分析能力，并提供對實時分析任務的配置、調度、認證授權、日志監(jiān)控等管理能力；分析算法庫主要提供建立安全仿真數(shù)據(jù)分析模型的算法及算法模型管理功能，并可通過API 的方式提供分析算法的調用。

3.3 網(wǎng)絡安全靶場攻擊效能評估方案

對網(wǎng)絡安全靶場攻擊效能評估是全面評估人員真實攻防技術水平、網(wǎng)絡安全靶場效能的重要手段。業(yè)界主要通過積分、報告等方式進行評估，僅關注結果數(shù)據(jù)，較為片面。本文提出基于指標因子的攻防效能評估方案（如圖2 所示），基于攻防經(jīng)驗知識和效能評估因子，覆蓋攻防過程和結果，實現(xiàn)攻防效能的體系化評估。

圖2 基于指標因子的攻防效能評估方案

基于網(wǎng)絡安全靶場采集數(shù)據(jù)的多樣性全面性，融合流量數(shù)據(jù)、主機日志、應用日志、攻擊檢測日志、題目數(shù)據(jù)、團隊數(shù)據(jù)、演練報告、運維日志等多源數(shù)據(jù)，通過基于數(shù)據(jù)融合的預處理與數(shù)據(jù)建模，提取結果和過程兩大類評價指標。其中結果評價指標包括基礎技能考核指標、漏洞挖掘指標、手法隱蔽性指標，主要從答題情況、漏洞危害與資產(chǎn)覆蓋面、攻擊檢出情況等方面進行考察；過程評價指標包括業(yè)務影響程度指標、過程合理性指標，主要考察在使用安全靶場過程中對業(yè)務可用性和性能等造成的影響情況、攻擊流程步驟及知識與成果等是否合理等方面，通過對提取的各類指標進行量化評分，并基于各類指標的重要程度進行加權平均，從而實現(xiàn)對安全靶場攻防效能綜合量化評估。該方案結合過程和結果指標，可更真實、更全面地反映攻防技戰(zhàn)術水平，提供體系化的攻防效能評估數(shù)據(jù)支撐；同時通過各指標量化評分及綜合評分，能夠更為客觀地反映安全靶場攻防效能。

4 結語

網(wǎng)絡安全靶場已成為新的網(wǎng)絡空間安全基礎設施，Garterner 技術成熟度曲線中網(wǎng)絡安全靶場處于上升期，對其應用場景、數(shù)據(jù)采集、分析等方面的研究是當前業(yè)界的熱點之一。業(yè)界網(wǎng)絡安全靶場可以分為實訓、漏洞復現(xiàn)與科研驗證等三大類應用場景，這三大類場景中對數(shù)據(jù)監(jiān)控的目的和需求不盡相同，需要進行針對性的數(shù)據(jù)監(jiān)控方案設計與構建，本文選取其中較為典型的靶場數(shù)據(jù)支撐和效能評估兩個方面進行了研究與方案設計，后續(xù)隨著網(wǎng)絡安全靶場的進一步推廣，其科研驗證場景的應用也將進一步受到重視，如何利用網(wǎng)絡安全靶場這一伴生網(wǎng)絡中的數(shù)據(jù)進行科學研究，將數(shù)據(jù)建模分析的成果反饋到現(xiàn)網(wǎng)安全技術和產(chǎn)品，提升現(xiàn)網(wǎng)安全檢測與防護能力，將是未來網(wǎng)絡安全靶場數(shù)據(jù)監(jiān)控研究的重要方向。